网络信息安全管理员2.ppt

效劳器系统的平安维护;§1WindowsServer2003IIS效劳器;一个IIS远程攻击例如

多媒体演示。;默认状态下，IIS容易受到很多不同类型的攻击，在使用之前必须加固。

〔1〕仅启用必要的Web效劳扩展

IIS效劳器提供的功能来产生或扩展的任何动态内容，都是通过使用Web效劳扩展来实现的。这些扩展包括ASP.NET、SSI、WebDAV和FrontPageServerExtensions。

仅启用在IIS效劳器环境下运行的站点和应用软件所必需的Web效劳扩展，通过最大限度精简效劳器的功能，可以减少每个IIS效劳器的受攻击面，从而增强了平安性。建议不要安装Index?Server、FrontPage??Server?Extensions、例如WWW站点等功能。;〔2〕仅安装必要的IIS组件

除“万维网发布效劳〞之外，IIS6.0还包括其它的组件和效劳，例如FTP和SMTP效劳。可以通过双击“控制面板〞上的“添加/删除程序〞来启动Windows组件向导应用程序效劳器，以安装和启用IIS组件和效劳。安装IIS之后，必须启用Web站点和应用程序所需的所有必要的IIS组件和效劳。

应该仅启用Web站点和应用程序所需的必要IIS组件和效劳。启用不必要的组件和效劳会增加IIS效劳器的受攻击面。

〔3〕使用平安工具

Microsoft免费提供了一个“IISLockdownWizard〞工具来确保IISWeb效劳器的平安。此工具可用来配置一个IIS4.0或IIS5.0Web效劳器以实现平安运行。;〔4〕确保IIS全局的设置平安

大局部IIS配置设置存储在元库〔metabase〕中，但是一些全局设置仍在注册表里。确保注册表内一些键值设置正确。

〔5〕确保默认Web站点和管理Web站点的平安

第一次安装IIS时会创立两个站点：默认Web站点和管理Web站点，它们有不少平安隐患，应该禁用。例如，默认Web站点包括一些默认的虚拟目录。其中不少都映射到系统盘。因此，要删除默认Web站点的虚拟目录。;〔6〕使FrontPageServerExtension〔FPSE〕无效

FPSE提供了方便的远程Web授权特性，但是它却导致了Web效劳器遭受攻击面的扩大。可能造成网站效劳器遭受DOS〔拒绝效劳〕攻击，对于FrontPageServerExtensions2002效劳器来说，还可能使得黑客能够在用户机器上???行自己的代码，掌控整个效劳器。

要完全删除FPSE。;保护Web站点的平安

一旦确保了IIS效劳的平安，就需要保护Web站点的平安。

〔1〕Web站点为只读

〔2〕设置WWW属性

最好去掉?.IDC、.HTR、.STM、.IDA、.HTW应用程序映射，.shtml、.shtm???等假设无用也应去掉。

;〔3〕帐户策略

①清理帐户。

②保护众所周知帐户的平安。

③?除了Administrator外，有必要再增加一个属于管理员组的帐号。

④创立一个帐号陷阱。

⑤定期修改口令。

⑥对于IIS效劳器，建议不要使用帐户锁定策略。

⑦在“本地策略〞的“平安选项〞里，把“Lan?Manager身份验证级别〞改为“仅发送NTLM响应〞，。

?

?;在专用磁盘卷中放置内容

IIS会将默认Web站点的文件存储到systemroot\inetpub\wwwroot。应该将构成Web站点和应用程序的所有文件和文件夹放置到IIS效劳器的专用磁盘卷中。不包含操作系统的磁盘卷，有助于防止目录遍历攻击。

?;设置NTFS权限

NTFS下所有文件默认情况下对所有人〔eneryone〕为完全控制权限，如果限制一般用户只有只读权限的话，有可能会导致一些脚本运行不正常，这时需要对这些文件所在的文件夹权限进行更改。

?;设置IISWeb站点权限

IIS将检查Web站点权限，以确定在Web站点中可能